安全

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 安全

只有0.1%用户能正确处理Web服务器安全那点儿事

作者:ZDNet至顶网出处:论坛2016-03-31 06:18

  网络扫描设备供应商Netraft公司已经发布了“一项非常严厉的批评”,斥责全球各地的系统管理员忽略了HTTP公共密钥锁定(简称HPKP)机制。

  这套锁定方案的设计目标在于帮助用户抵御伪造攻击,即攻击者利用伪造的证书颁发机构发布欺诈性证书。

  如果攻击者能够为用户提供一套fubar.com的证书,他们即可伪造该站点,并构建一条路径以实现证书收集。

  HPKP确实非常有效,但Netcraft方面强调称,其只有在系统管理员将其应用至服务器时才能发挥作用——但实际情况恰好相反。

  “在Netcraft本月进行的2016年SSL调查中,只有不到0.1%的证书配备有HPKP标题头,”这篇文章指出,并补充称“即使得到部署,仍有三分之一的系统管理员未能正确设定HPKP策略。由于错误太多,HPKP的起效门槛变得很高。”

  从数字角度来看,Netcraft公司表示只有3000套证书在使用HPKP共有4100个站点在使用HPKP标题头,但有四分之一在具体实施过程中发生了错误。

  Netcraft公司指出,系统管理员避免使用该协议的最大理由在于,其虽然降低了用户风险,但使用HPKP却可能给企业带来风险。系统管理员需要为HPKP设定生命周期策略——如果站点运营人员丢失了证书密钥,那么其站点将在整个生命周期之内都无法进行访问。

  目前成功搞定这项难题的三个安全包括:

  Github采用HPKP,但将策略的生命周期设定为300秒。这就将GIthub出现问题后用户遭遇的中断时长降低到了最低水平——但攻击者仍然拥有5分钟的时间窗口。这样一旦遭遇攻击,“任何在过去五分钟内未能访问到真正www.github.com的用户都可能成为潜在受害者”。

  Mozilla则面临着更高的风险:其站点的策略生命周期为15天——一旦出现问题,后果将非常严重。

  Pixabay, Netcraft指出,面临的风险更为可观:策略生命周期长达1年,一旦失去专有密钥,其业务生命也将走向终点。不过就过往来看,“Pixabay显然认为强大的伪造攻击防护能力完全值得其冒如此大的风险。”

相关文章

关键词:安全证书 ,密钥管理, 网络安全, Netcraft

责任编辑:容心

网警备案